Как предотвратить XSS (межсайтовый скриптинг) при разрешении ввода HTMLC#

Место общения программистов C#
Гость
Как предотвратить XSS (межсайтовый скриптинг) при разрешении ввода HTML

Сообщение Гость »

У меня есть веб-сайт, на котором можно вводить HTML с помощью расширенного редактора TinyMCE. Его цель — предоставить пользователям возможность форматировать текст с помощью HTML.

Этот введенный пользователем контент затем выводится другим пользователям системы.
Однако это означает, что кто-то может вставить JavaScript в HTML, чтобы выполнить XSS-атаку на других пользователей системы.

Что такое лучший способ отфильтровать код JavaScript из строки HTML?

Если я выполняю проверку регулярным выражением для тегов , это хорошее начало, но злоумышленник все равно может прикрепить JavaScript к атрибуту onclick тега.

Есть ли надежный способ написать весь JavaScript в скрипте код, оставляя остальную часть HTML нетронутой?

Для моей конкретной реализации я использую C#

Подробнее здесь: https://stackoverflow.com/questions/702 ... html-input

Вернуться в «C#»